目次 [ close ]
  1. 対象試験と出題頻度
  2. 用語の定義
  3. 解説
    1. 具体的な活用例・対策
  4. 試験ではこう出る!
  5. 【確認テスト】理解度チェック

対象試験と出題頻度

詳細をクリックして確認
対象試験:
情報セキュリティマネジメント試験
基本情報技術者試験
応用情報技術者試験
出題頻度:
★★★☆☆
ランクB(標準)

用語の定義

ルートキットとは、一言で言うと「OSの深部に潜伏し、自分自身や他のマルウェアの存在をセキュリティソフトから隠蔽するためのツール群」のことです。

イメージとしては、「家に侵入した泥棒が、防犯カメラの映像を改ざんして自分の姿を消し、見つからないように住み続ける状態」と同じです。
「Rootkit」は「Root(UNIX/Linuxにおける最高管理者権限)」と「Kit(ツール群)」を組み合わせた言葉です。攻撃者はルートキットを使って管理者権限を奪取し、自分の存在を隠しながらシステムを自由に操ることができます。

解説

ルートキットは、マルウェアの中でも特に検出が困難で危険な存在です。単体で悪意ある動作をするというよりも、「他のマルウェアを隠す」「攻撃者のアクセスを隠す」という「隠蔽」の役割を担います。ルートキットが厄介な理由は以下の通りです。

  • OSの深いレベルで動作: カーネル(OSの中核部分)レベルで動作するため、通常のセキュリティソフトでは検知しにくい
  • ファイルやプロセスの隠蔽: マルウェアのファイルやプロセスを、ファイル一覧やタスクマネージャーから見えなくする
  • ネットワーク通信の隠蔽: C&Cサーバへの通信など、不審なネットワーク接続を隠す
  • ログの改ざん・削除: 侵入の痕跡を消し、フォレンジック調査を困難にする

ルートキットには複数の種類があります。

  • カーネルモード型: OSのカーネルに組み込まれ、最も深いレベルで動作する。検出が最も困難
  • ユーザーモード型: アプリケーションレベルで動作し、APIを改ざんして隠蔽を行う
  • ブートキット: OSが起動する前のブートプロセスに感染し、OS起動時から活動を開始する
  • ファームウェア型: BIOSやUEFIなどのファームウェアに感染する。再インストールでも除去できない

ルートキットに感染すると、他のマルウェア(キーロガー、ボット、バックドアなど)がセットで潜伏していることが多く、発見時にはすでに深刻な被害が発生していることがあります。

具体的な活用例・対策

ルートキットの主な感染経路と対策を紹介します。

  • 他のマルウェア経由: トロイの木馬やエクスプロイトキットによって侵入し、ルートキットがインストールされる
  • 脆弱性の悪用: OSやドライバの脆弱性を突いて管理者権限を奪取し、ルートキットを仕込む
  • 物理的アクセス: 攻撃者がPCに直接アクセスしてインストールするケース

ルートキット対策の基本は以下の通りです。

  • ルートキット検出ツールの使用: 通常のウイルス対策ソフトに加え、ルートキット専用の検出ツールでスキャンする
  • OSの再インストール: ルートキット感染が確認された場合、OSをクリーンインストールするのが最も確実
  • セキュアブートの有効化: UEFIのセキュアブート機能を使い、ブートキットの感染を防ぐ
  • OSやドライバの最新化: 脆弱性を塞ぎ、ルートキットの侵入経路を減らす
  • 最小権限の原則: 管理者権限での日常操作を避け、権限昇格のリスクを減らす
  • ファームウェアの更新: BIOSやUEFIを最新に保ち、ファームウェア型ルートキットを防ぐ

試験ではこう出る!

情報セキュリティマネジメント試験・基本情報技術者試験・応用情報技術者試験で出題されます。以下のキーワードとセットで覚えましょう。

【重要キーワード】

  • マルウェア(ルートキットを含む悪意あるソフトの総称)
  • カーネル・カーネルモード
  • 隠蔽・ステルス機能
  • 管理者権限・root権限
  • バックドア・トロイの木馬
  • ブートキット・ファームウェア型

試験問題で「OSの深部に潜伏して存在を隠す」「マルウェアやプロセスをセキュリティソフトから見えなくする」「カーネルレベルで動作し検出が困難」といった記述があれば、それは「ルートキット」に関する記述です。

【確認テスト】理解度チェック

ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。

Q. ルートキットに関する説明として、最も適切なものはどれでしょうか?

  • A. キーボード入力を密かに記録し、パスワードや個人情報を盗み取るツール
  • B. 感染したPCを遠隔操作し、DDoS攻撃やスパム送信に悪用するマルウェア
  • C. OSの深部に潜伏し、自身や他のマルウェアの存在をセキュリティソフトから隠蔽するツール群

正解と解説を見る

正解:C

解説:
ルートキット(Rootkit)とは、OSのカーネルなど深いレベルに潜伏し、自分自身や他のマルウェア(バックドア、キーロガーなど)の存在をセキュリティソフトから隠蔽するためのツール群です。「Root(管理者権限)」を奪取・維持するための「Kit(道具箱)」という意味が込められています。
Aは「キーロガー」、Bは「ボット」の説明です。ルートキットの特徴は「隠蔽」と「検出困難」である点にあり、直接的な攻撃よりも「他のマルウェアを隠す」役割を担うことを理解しておきましょう。